AD LDAP 无需密码

AD LDAP 无需密码

我对启用了 PASSWD_NOTREQD 设置的 AD 帐户有疑问。此设置到底有什么作用?

根据我自己的研究,这似乎会导致账户以两种方式之一运行:A)创建账户时不需要密码,它将忽略密码策略,并且始终可以设置为无;B)创建账户时不需要密码,但如果更改密码,则必须仍然遵守密码政策。

有人可以为我解释一下吗?

谢谢!

答案1

用户密码和更新

你的第二个假设几乎是正确的:

B) 创建帐户时不需要密码,但如果更改密码,则仍必须遵循密码策略。

为了理解这一点,请理解,更新用户帐户密码可以通过两个看似相似但非常不同的操作来完成:

  1. 经过环境密码
    • 这是由管理用户完成的
    • 通常是委托给服务台人员的权限
    • 必须遵守userAccountControl设置
    • 不受密码历史记录策略设置的约束
  2. 经过改变密码
    • 这是由用户完成的
    • 通常是密码过期后第一次身份验证尝试的一部分
    • 必须遵守密码政策 userAccountControl设置

这意味着,管理员可以null如果您的帐户对象允许(即设置),则您的密码PASSWD_NOTREQD将保持不变,而不管适用的密码策略如何以及要求密码有多长。

你不能改变但是null,由于“密码更改”意味着您正在更换密码,而不是取消设置密码。更改密码后,将根据有效的密码策略验证新密码。

我认为最容易记住的方法是密码政策适用于密码-PASSWD_NOTREQD另一方面,是衡量你是否允许没有密码——在这种情况下该策略不再相关。


危险吗?

PASSWORD_NOTREQD看起来像是一个危险的标志,但它本身并无害,因为许多机制阻止使用null-passwords(或“空白密码”)。如上所述,默认情况下,用户无法取消设置自己的 AD 用户密码,并且 Windows(消费者版和服务器版)默认会拒绝通过网络对使用空白密码的用户进行密码验证 - 这意味着您只能从控制台登录。

相关内容